华为员工被判刑:一夜惊醒多少老板和审计?
- 2022-04-13 06:10:00
- 审先生 原创
- 10263
审先生 / 文;内审网 / 整编
昨天(4月12日)发现,一条“华为员工利用公司系统Bug越权访问机密数据被判刑”的新闻,突然登上微博、百度、微信搜一搜等各大热搜榜单!
华为员工、越权、机密数据,这一个个关键词,无一不激起了本人一探究竟的想法。
进一步检索查阅了解到,大致情况为:
易某,于2006年12月至2018年3月期间在华为技术有限公司(以下简称华为公司)任职。在其调离岗位后,未清理ERP登陆账号(相关权限),通过越权访问,或借用同事账号访问ERP系统,将所获得数据透露给华为供应商、上市公司金信诺(300252),以帮助该公司提高中标率,因此获利。最终易某被判犯非法获取计算机信息系统数据罪,判处有期徒刑一年,并处罚金人民币二万元;并向易某追缴违法所得共计人民币23437.6元,依法予以没收,上缴国库。
网上公开披露的裁定书如下:
截图来自:中国裁判文书网
公开信息显示,2017年以后,易某发现ERP系统中的POL采购小程序存在漏洞,能通过特定操作绕过权限控制查看系统数据,便以此方式获取线缆物料的价格信息。发现系统漏洞后,易某未向上反馈,反而利用该漏洞从事上述违法行为。
经查,
易某在2016年12月27日至2018年2月28日期间,曾多次通过邮箱“yihxxx@huawei.com”将华为公司多个供应商共1183个(剔除重复部分共918个)线缆类编码物料的采购价格发送给金信诺公司。
2012年至2017年6月30日期间,易某收受金信诺公司购物卡共计7000元、篮球鞋5双(价值共计人民币16437.6元)。
另查明,案发后,华为公司出具谅解书,表示对被告人易某侵害华为公司的行为予以谅解。
到此,不知您会有什么想法。作为一名老审计人,和圈内朋友们讨论了解到,一夜之间,不少公司老板、高层连夜要求IT、审计部门着手审查关键系统账号权限管控情况。
这个案件,并不复杂,从事过全面审计工作,或者参与过大中型企业是单位审计项目的伙伴,一定会清楚,账号、权限、日志管理是信息系统一般性控制(ITGC)的基本内容,IT审计亦必须关注。
大家时间宝贵,长话短说,基于该案件,从IT、数据控制与审计的角度,分享几点实务干货,供各单位高层及IT部门、审计部门同仁参考:
数字化时代,数据是组织最宝贵的资源和财富之一,部分数据事关企业命运,甚至生死,重视数据安全,就是关注组织前途与发展;
数据安全管理,不是喊喊口号就能做到的,需要周密的内部控制设计,严格的控制执行措施。包括但不限于:外购系统可靠性评估和认证;自研系统的充分独立测评;云端与本地数据存储安全保证及定期审查;账号密码策略与权限分配审查;数据接口与传输控制;日志记录与审阅等。
任何系统都不可能尽善尽美,建立发现bug、搜集bug、解决bug,定期进行系统升级迭代的机制,至关重要。
系统控制效率高,各单位尽可能的通过系统部署自动控制,但也要清醒的认识到,不可靠的系统控制,其风险远比人工控制风险更高,要知道,系统性错误会导致该环节出现全面的错误,所以,做好充分的系统测评,不能忽视;
账号权限授予管理,不是闹着玩,权限越大自然越方便,但风险自然越高,要遵循适当性的授权总原则,充分保证不相容职责适当分离;
账号权限审阅和审计,不要走过场,华为该案件再一次生动的证明,账号权限审阅和审计的价值所在。易某账号调岗时,账号权限未被及时修改,如果该系统账号定期审阅机制得到了严格执行,肯定能尽早发现其权限超过岗位职责的问题,如果IT审计[内审网注:各类审计方法案例报告模板关注公众号内审网即可查阅获取]测试关注到该系统账号,亦可发现(当然与审计方法有关,若不全查,就得靠运气);
账号密码和使用权管理,不是儿戏,要知道,我们的账号一般基于该岗位职责而开通对应的权限,要严禁借用账号行为,借用账号会实质性构成不相容职责不分离、数据泄密风险;
日志记录与存储很重要,该控制更多的价值在于检查性,一旦出现问题,能够快速定位及追责,也能帮助精准堵上漏洞。
对于控制,要彻底改变“从来没出过问题,没啥关系”的思维,要意识到,控制更多的价值应该在于预防,过去没问题不代表未来没问题,很多情况下,正是因为控制存在,过去才没有出问题;
很多情况下,审计的价值是潜移默化、润物细无声的。审计发现问题是价值,预判风险更是价值所在。正是因为审计的存在,尽早地发现了风险,推动控制建立,化解了风险,预防了问题出现,所以,不要因为没啥大问题就认为“审计没有价值”,有时候,审计存在就是威慑,就是价值。
以上十点个人看法,抛砖引玉,希望对大家有所帮助,欢迎留言讨论。
【转载提示】转载内审网原创文章,请在页面顶部注明:本文转载自公众号:内审网(ID:neishenwang),并标识作者信息。
文章版权归作者所有,观点不代表内审网立场。部分图文源于网络,已标注作者信息,部分无法查明作者及首发来源,仅作同行学习研究之用,如涉版权,后台联系删除。
- 2025年培训课程计划:审计/内控/合规(全年计划·收藏)
- 2025重磅!采购-供应链穿透监督与风险管理、审计实务案例”专题课程
- 国企迎审、经济责任审计及违规经营投资责任追究-实务培训课程
- 内部控制优化与实践-培训课程
- 【热门】新时期内审精英实务综合课
- “新会计法贯彻实施暨高风险业务循环中的内控实务”研修班-培训通知
- 风险管理、内控合规体系建设与实践” (线上/线下)-培训通知
- “风险导向审计实务与案例”(线上+线下)培训通知
- “经济责任审计实务与案例” (线上+线下) 培训通知
- 【最新】中/高级审计师 / CIA 考试培训课程
- “内部审计负责人与后备人才岗位能力”高级研修班培训通知
- 内部控制审计实战与案例-培训课程
- “对标一流,数字化审计实践与企业增值”培训通知
- 重磅!走进蒙牛:数字化转型之智慧财务共享” 研修班-培训通知
- “全面预算管理体系建设与标杆企业实践” (线上+线下)培训通知
- 24355 【2025高级审计师/初级中级考试 // 正高/高审评审培训课程】
- 15167 【课件】内部审计实务+案例·精讲
- 15068 【CIA 国际注册内部审计师】培训课程+题库+模拟考试
- 11433 【课件】国有企业审计与内部控制
- 10743 【课件】审计方案+报告+证据+审计能力建设+经济责任审计培训课程
- 9679 【课件】注册制IPO审计全流程实务详解
- 9450 【绩效审计与内部控制审计】培训课程
- 9328 【经济责任审计·准则解读】课程
- 9306 【建设工程全过程审计】培训课件
- 8790 【EPC工程总承包项目管理与审计实务】培训课程
- 8277 【工程项目招投标风险管理与审计】培训课程
- 8170 【建设项目竣工决算审计】培训课程
- 11565 《企业内部审计全流程指南》
- 11123 《数字化审计实务指南》高效审计工具书
- 9888 《内控总监工作笔记》 企业内部控制工作法及案例解析
- 9858 《内部审计工作法》
- 9443 《财务审计实务指南》
- 9430 《企业内部控制流程手册》- 第3版
- 9423 《业内部控制架构设计实操手册》
- 9421 《舞弊审计实务指南》
- 9403 《金融机构审计实务指南》
- 9388 《行政单位经济责任审计实务指南》
- 9180 《内审人员进阶之道 内部审计操作实务与案例解析》
- 9163 《房地产企业审计从入门到精通》模块分解+操作流程+案例解析
- 9027 《企业内部控制全流程实操指南》
- 8895 《企业内控精细化管理全案》第三版
- 8820 《内部审计工作指南》+《增值型内部审计》+《内部审计情景案例》《内部审计思维与沟通》《合规型内部审计》
- 8789 《企业内部控制基本规范操作指南 图解版》